-
-
[旧帖]
[求助]seh时调用的一些参数
0.00雪花
-
发表于:
2011-7-27 17:44
1127
-
[旧帖] [求助]seh时调用的一些参数
0.00雪花
学习书上cve-2009-0927时,下了一个万能消息断点才成功来到annots中getIcon函数里strncpy的附近,幸运地看到了seh+heap spray,感谢大神们的文章~
于是在0c0c0c0c处设置内存断点,断下后根据栈里的内容找到了ntdll中对于shellcode的调用的返回地址,ctrl+g找到了那个call
重来,停到了7c9237A0:
push dword ptr fs:[0]
mov dword ptr fs:[0],esp
push dword ptr [ebp+14]
push dword ptr [ebp+10]
push dword ptr [ebp+C]
push dword ptr [ebp+8]
mov ecx,dword ptr [ebp+18]
call ecx
这里压入的各传递参数都是什么意义呢?
特别是fs:[0]直接指向了被0c0c0c0c淹没的seh链12ed28
mov ecx,[ebp+18]就是把前面压入栈的fs:[0]地址处的内容(0c0c0c0c)直接传给ecx吗?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法